Bitwarden vs 1Password vs KeePass: chọn password manager nào 2026?

Password manager giờ không còn là tùy chọn mà là bắt buộc. Số data breach năm 2025 tăng 30% theo báo cáo IBM X-Force. Dùng chung 1 password cho nhiều site = sớm muộn bị compromise. Bài này so sánh 3 lựa chọn phổ biến nhất để giúp bạn chọn đúng.

Bitwarden thành lập 2016, mã nguồn mở trên GitHub (bitwarden/server), được audit bảo mật hàng năm bởi Cure53. Free tier đã đủ dùng cho 95% user cá nhân.

Free tier được gì: - Unlimited password, note, card, identity - Sync trên unlimited device (khác LastPass free giới hạn 1 device type) - Browser extension tất cả browser lớn - Mobile app iOS/Android - Password generator, password strength report - 2FA bằng email hoặc authenticator app Premium $10/năm thêm: - Built-in TOTP (không cần app ngoài) - File attachment trong vault - Emergency access (cho người thân sau X ngày inactivity) - Security report: breach monitoring, weak password, reused password - Advanced 2FA (YubiKey, Duo)

Self-host với Vaultwarden (Rust implementation unofficial) là ưu thế lớn — chạy 1 Docker container là xong, 100% control data, không phụ thuộc server Bitwarden chính.

Điểm trừ: UX không đẹp bằng 1Password, autofill đôi khi không bắt form phức tạp, tìm kiếm chậm khi > 1000 entry.

1Password từ AgileBits (Canada), thành lập 2006. Proprietary nhưng có audit từ Cure53. UX được đánh giá đẹp và mượt nhất trong nhóm password manager.

Gói Personal $2.99/tháng ($35.88/năm) gồm: - Unlimited password, note, card - Watchtower (monitoring breach, weak password, 2FA missing) - Travel Mode — ẩn vault chỉ định khi qua border (hữu ích khi du lịch) - Secrets automation cho dev (API key, CLI integration) - 1GB file storage Gói Family $4.99/tháng cho 5 user, share vault gia đình dễ, mỗi người có vault private riêng.

Ưu điểm nổi bật: - UX đẹp nhất, animation mượt trên cả desktop và mobile - Autofill chính xác nhất trong 3 tool — rất ít khi sai form - Dev integration tốt (1Password CLI, Terraform, GitHub Actions secret) - Travel Mode unique — chưa tool nào có tương đương - Watchtower proactive check account bị leak Điểm trừ: không có tier free, mọi thứ đều phải đóng phí. Không self-host được.

KeePass (Windows, .NET) và KeePassXC (cross-platform, rewrite C++) là password manager local — database file .kdbx trên máy bạn, không có server cloud bắt buộc.

Cách hoạt động: - Tạo file vault .kdbx trên máy, đặt master password + key file - Database lưu trong folder OneDrive/Dropbox/iCloud để sync giữa thiết bị - Browser extension KeePassXC-Browser kết nối qua socket local - Mobile app third-party: Strongbox (iOS), KeePassDX (Android), Keepassium (iOS paid)

Ưu điểm: - Hoàn toàn miễn phí, open-source GPL - Không có server trung gian — 0% rủi ro bị breach từ công ty - Encryption AES-256 + Argon2 (mạnh hơn PBKDF2) - Plugin phong phú cho KeePass (integration với Chrome, Firefox, TOTP, YubiKey) - Một file .kdbx copy đâu cũng dùng được Nhược điểm: - Tự quản sync là phiền — conflict khi 2 máy sửa cùng lúc - UX cũ, không hiện đại bằng Bitwarden/1Password - Không có breach monitoring native - Mobile workflow rối rắm (cần 3rd-party app + cấu hình) - Sharing gia đình là pain point (phải copy file thủ công)

Câu hỏi phổ biến: "bỏ hết mật khẩu vào 1 password manager có nguy hiểm không nếu service bị hack?"

LastPass breach 2022 — công ty bị compromise, backup vault (encrypted) bị đánh cắp. Hacker bruteforce vault của user có master password yếu, ước tính ~200-300 triệu USD thiệt hại tiền điện tử cho một số user ảnh hưởng. Đây là bài học lớn.

Bài học rút ra: 1. Master password phải mạnh — ≥ 16 ký tự, không tái sử dụng ở đâu khác, bao gồm symbol+số+chữ 2. 2FA cho account password manager — bắt buộc 3. Chọn service có zero-knowledge architecture — Bitwarden, 1Password, KeePass đều có. Nghĩa là server không thấy password của bạn 4. Không dùng password manager của browser (Chrome, Firefox password) — bảo mật yếu hơn dedicated tool nhiều

Bitwarden và 1Password dùng PBKDF2 với 600k+ iteration (Bitwarden tăng từ 100k lên 600k năm 2023 sau LastPass breach). 1Password có thêm Secret Key (128-bit random tạo offline) — hacker cần cả master password + Secret Key mới decrypt được. KeePass không có rủi ro này vì không có server cloud để bị hack.

Từ Chrome/Firefox built-in password → Bitwarden: 1. Chrome: Settings → Passwords → Export passwords → lưu file CSV 2. Bitwarden: Tools → Import → Chrome CSV → chọn file 3. Xóa file CSV ngay (chứa password plain text!) 4. Trong Chrome, Settings → Passwords → Offer to save password → Off

Từ LastPass → Bitwarden: Bitwarden có import LastPass built-in. Login LastPass web vault → Settings → Advanced → Export. Sau đó trong Bitwarden import tab chọn LastPass CSV.

Từ KeePass → Bitwarden: KeePass → File → Export → CSV. Trong Bitwarden chọn KeePass CSV format. Hoặc export XML và dùng import tool từ bitwarden.com/help/import-data/.

Từ Bitwarden → 1Password (nếu muốn nâng cấp): 1Password có Quick Import gồm Bitwarden template. Login 1Password → Import → từ Bitwarden → chọn CSV export từ Bitwarden.

Bạn là: - User cá nhân bình thường, tiết kiệm: chọn Bitwarden free. Đủ dùng 95% trường hợp, nếu cần thêm TOTP nâng cấp $10/năm không đáng kể. - Professional/Family muốn UX tốt nhất: chọn 1Password. $3-5/tháng đổi lấy trải nghiệm mượt và feature unique (Travel Mode, Watchtower). - Paranoid về privacy, không tin cloud: chọn KeePassXC. Setup phức nhưng đổi lại 0% phụ thuộc công ty thứ 3. - Dev team cần secret management: xem xét Bitwarden Secrets Manager (mới 2024) hoặc 1Password Secrets Automation — cả hai đều có CLI cho CI/CD.